- Ransomware
-
Ransomware sind Computerprogramme, mit deren Hilfe ein Eindringling private Daten auf einem fremden Computer verschlüsseln kann, um für die Entschlüsselung ein „Lösegeld“ zu fordern. Ihre Bezeichnung setzt sich aus der Zugehörigkeit zu der Klasse der Malware sowie der englischen Bezeichnung für Lösegeld (ransom) zusammen.
Die Idee geht auf das Jahr 1989 zurück, als der Schädling AIDS TROJAN DISK mit Hilfe einer infizierten Diskette Daten verschlüsselte. Der Autor dieses Schädlings konnte überführt werden und wurde zu einer Haftstrafe verurteilt. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, ist der Trojaner TROJ_PGPCODER.A, für dessen Entschlüsselung mehrere hundert US-Dollar gefordert wurden.
Ein – aus Sicht des Angreifers – entscheidender Nachteil von Ransomware ist der Kontakt zum Opfer zur Lösegeldforderung und -bezahlung. Diese können per Internet erfolgen, beispielsweise über Online-Bezahldienste wie PayPal. Gleichwohl dürfte es staatlichen Ermittlungsbehörden leichtfallen, das Empfängerkonto zu sperren und den Kontoinhaber zu ermitteln. Daher bezweifeln viele Experten, dass sich Ransomware zu einem Massenphänomen ausbreiten könnte.
Inhaltsverzeichnis
Vorgehen des Schädlings
Ransomware kann auf den gleichen Wegen wie ein Computervirus auf einen Computer gelangen. Zu diesen Wegen zählen präparierte E-Mail-Anhänge wie beispielsweise trojanische Pferde, die mittels Computerwürmern versendet werden, die Ausnutzung von Sicherheitslücken in Webbrowsern oder das Fehlen einer Firewall. Nachdem ein Computer befallen ist, sucht sich die Ransomware geeignete Daten zur „Entführung“. Zumeist werden Briefe, Rechnungen und andere mit Office-Anwendungen erstellte Dokumente, die sich in Windows-Systemen in der Regel im Ordner „Eigene Dateien“ befinden, verschlüsselt. Grundsätzlich kommen als Ziel alle Dateien in Frage, die für den Besitzer des Computers eine hohe Wichtigkeit aufweisen und nicht wiederbringbar sind, wozu u. a. auch E-Mails, Datenbanken, Archive und Fotos zählen können. Diese Dateien werden nun so verschlüsselt, dass der Benutzer keinen Zugriff auf ihre Inhalte mehr besitzt. Im Gegensatz zu Spyware werden hier also keine großen Datenmengen verschoben. Üblicherweise löscht sich Ransomware nach der Verschlüsselung der Dateien selber, um die Analyse des Schädlings zu erschweren.
Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden oder eine Webseite aufzurufen. In beiden Fällen wird eine Software zur Entschlüsselung der Daten bzw. die Zusendung des benötigten Passworts angeboten, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden. Um dem Opfer die Möglichkeit zu nehmen, sich Hilfe zum Thema Informationssicherheit aus dem Internet zu holen, kann es zu Manipulationen an der Hosts-Datei kommen, so dass der Zugang zu solchen Webseiten maßgeblich eingeschränkt wird.
Ratschläge für Betroffene
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in solchen Fällen, nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.
Schutz vor Ransomware
Der Schädling TROJ_PGPCODER.A nutzt eine sehr einfache Verschlüsselung, die auch ohne Programm des Erpressers rückgängig gemacht werden kann.[1] Nachfolgeversionen nutzen zum Teil deutlich stärkere Verschlüsselungsverfahren wie RSA, die derzeit und in absehbarer Zeit nicht zu knacken sind. Daher ist es ratsam, vorbeugende Maßnahmen zur Abwehr von Ransomware zu treffen. Hierzu zählen der Betrieb einer stets aktuell zu haltenden Anti-Viren-Software sowie verfügbare Updates des verwendeten Betriebssystems und Webbrowsers zu installieren. Zudem sollten E-Mail-Anhängen von unbekannten Absendern ein gesundes Misstrauen entgegengebracht und diese ungeöffnet gelöscht werden.
Zusätzlich sollten wichtige Daten in regelmäßigen Abständen auf externe Datenträger wie beispielsweise CD-ROMs oder DVDs gesichert werden, zu denen Ransomware keinen Zugriff erlangen kann. Ein solches Backup schützt zugleich vor anderen Ursachen für Datenverluste wie beispielsweise Head-Crashs als Funktionsfehler von Festplatten.
Einzelnachweise
- ↑ Virusbeschreibung bei F-Secure, 12. August 2008
Weblinks
- Dr. Web Deutschland GmbH: Doctor Web-Virenreport März: Trojan.Encoder erpresst Lösegelder für Dateien. www.pressebox.de, 12. April 2010, abgerufen am 9. September 2011 (Pressemeldung der Doctor Web Deutschland GmbH).
- Hacker kidnappen Daten, computerwoche.de, 25. Mai 2005
- Bundesamt für Sicherheit in der Informationstechnik: Beschreibung: Trojan.Gpcoder, Aktivitäten und Wiederherstellung. 22. Mai 2005, abgerufen am 9. September 2011 (Kopie der Seite bei archive.org).
Wikimedia Foundation.